科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道应用软件JSP开发者要万万小心的数据范围漏洞

JSP开发者要万万小心的数据范围漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

JSP开发者要万万小心的数据范围漏洞。

作者:松毛虫 来源:CSDN 2008年3月25日

关键字: 数据范围 开发者 JSP Web开发

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共19页)

不知是很多教科书的懒惰还是其他什么,总之JSP中的数据定义方式的变量范围被忽略了。近日的调试才发现这个非常严重的问题。大家一起研究一下,因为这绝对是个严重的不能再严重的问题了。

JSP中有两种定义变量的方式,一种是"<%! ... %>"方式,另一种是"<% ... %>"方式。估计几乎所有的教科书上都是写<%! ... %>这种定义方式,(by gashero)而大家也就忽略了后一种方式,实际山他们有着非常大的区别,就是在于变量的定义域。查看JSP生成的Servlet代码可以看到,在<%! ... %>方式生成的变量定义是作为Servlet的默认成员变量,即没有public/private等等修饰的成员变量,作用范围是page。而在<% ... %>中定义的变量则是在Servlet的一个方法中作为局部变量定义的。正是因为这么一点区别就可以造成非常严重的错误。

page变量的作用范围是页面,不仅仅一个用户每次访问这个页面都可以相同的变量值。不同用户、甚至不在同一台电脑所上的人,访问这些变量的时候得到的变量值也都相同。所以如果没有太在意,(by gashero)使用了page变量来保存登录信息一类的数据,大家可就都爽了。任何人登录进来都可以做他想做的任何事情。

而使用<% ... %>方式定义的变量则不会有这个问题,即使同一用户在不同时间、不同窗口访问同一个页面,得到的结果也不同。

下面有一个例子,大家可以用Tomcat测试一下。就可以知道这个<%! ... %>所定义的page变量的能量了。程序中为了简化设计没有进行编码转换,具体可以参考我的一篇关于Tomcat编码的帖子。

<%@ page language="java" contentType="text/html; charset=GBK" pageEncoding="GBK" %>
<%!
    String username="";
    String password="";
%>
<%
    username=request.getParameter("username");
    password=request.getParameter("password"); // by gashero
    if(username==null) {
        username="";
    }
    if(password==null) {
        password="";
    }
%>
<html><body>
Username=<%=username %><br>
Password=<%=password %><br>
<br>
<form method="POST" action="test.jsp">
    username:<input type="text" name="username"><br>
    password:<input type="password" name="password"><br>
    <input type="submit" value="提交">
</form>
</body></html>

这是一个再简单不过的提交表单,读者可以自己试着提交一次数据,然后另外开一个浏览器页面,再次查看相同的URL,会发现用户名和密码还好好的在那里显示着。可以试着换一个浏览器,看看,(by gashero)用户名和密码还在那里。再换一台电脑试试,用户名和密码还在。

这是很多JSP书籍所忽略的一个问题,相信很多JSP初学者也会在这里栽跟头,但愿本文对大家有用。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章